Funktion von Cloudsicherheitsrichtlinie und -standards

Sicherheitsrichtlinien- und standardsteams erstellen, genehmigen und veröffentlichen Sicherheitsrichtlinien und -standards, um Sicherheitsentscheidungen innerhalb der Organisation zu steuern.

Die Richtlinien und Standards sollten:

  • Die Sicherheitsstrategie der Organisation detailliert genug wiedergeben, um Entscheidungen in der Organisation durch verschiedene Teams zu steuern.
  • Produktivität im gesamten Unternehmen ermöglichen und gleichzeitig das Risiko für das Geschäft und die Mission der Organisation verringern.

Sicherheitsrichtlinien sollten langfristige nachhaltige Ziele widerspiegeln, die an der Sicherheitsstrategie und Risikotoleranz der Organisation ausgerichtet sind. Richtlinien sollten immer Folgendes behandeln:

  • Einhaltung gesetzlicher Bestimmungen und aktueller Compliancestatus (erfüllte Anforderungen, akzeptierte Risiken usw.)
  • Bewertung des aktuellen Zustands unter Architekturaspekten sowie was sich technisch möglich entwickeln, implementieren und durchsetzen lässt
  • Organisationskultur und -einstellungen
  • Bewährte Branchenmethoden
  • Verantwortlichkeit von Sicherheitsrisiken, die entsprechenden Geschäftsbeteiligten zugewiesen sind, die für weitere Risiken und Geschäftsergebnisse verantwortlich sind.

Sicherheitsstandards definieren die Prozesse und Regeln, um die Ausführung der Sicherheitsrichtlinie zu unterstützen.

Modernisierung

Obwohl Richtlinien statisch bleiben sollten, sollten Standards dynamisch sein und fortlaufend neu bewertet werden, um mit den Änderungen in der Cloudtechnologie, Bedrohungsumgebung und geschäftlichen Wettbewerbslandschaft Schritt zu halten.

Aufgrund dieser hohen Änderungsrate sollten Sie genau beobachten, wie viele Ausnahmen gemacht werden, da dies darauf hindeuten kann, dass Standards (oder Richtlinien) angepasst werden müssen.

Sicherheitsstandards sollten Anleitungen enthalten, die für die Einführung der Cloud spezifisch sind, z. B.:

  • Sichere Verwendung von Cloudplattformen zum Hosten von Workloads
  • Sichere Verwendung von DevOps-Modellen und Einbindung von Cloudanwendungen, APIs und Diensten in die Entwicklung
  • Verwendung von Kontrollen des Identitätsumkreises, um Kontrollen des Netzwerkumkreises zu ergänzen oder zu ersetzen
  • Definieren Ihrer Segmentierungsstrategie vor dem Verlagern Ihrer Workloads auf die IaaS-Plattform
  • Markieren und Klassifizieren der Vertraulichkeit von Ressourcen
  • Definieren eines Prozesses zur Bewertung und Sicherstellung, dass Ihre Assets ordnungsgemäß konfiguriert und geschützt sind

Teamzusammensetzung und wichtige Beziehungen

Cloudsicherheitsrichtlinie und -standards werden üblicherweise von den folgenden Arten von Rollen bereitgestellt. Die Organisationsrichtlinie sollte Folgende informieren (und von diesen informiert werden):

  • Sicherheitsarchitekturen
  • Compliance- und Risikomanagementteams
  • Führungskräfte und Vertreter von Geschäftseinheiten
  • Informationstechnologie
  • Auditing- und juristische Teams

Die Richtlinie sollte auf Grundlage vieler Eingaben/Anforderungen aus dem gesamten Unternehmen optimiert werden, einschließlich, aber nicht beschränkt auf jene, die Diagramm der Sicherheitsübersicht dargestellt sind.

Nächste Schritte

Sehen Sie sich die Funktion eines Cloud Security Operations Centers (SOC) an.